프랑스 명품 브랜드 크리스챤 디올이 해킹으로 인해 한국 고객 정보가 유출됐음에도 불구하고, 국내 사이버 보안 주무기관인 한국인터넷진흥원(KISA)에는 신고하지 않은 것으로 드러났다. 관련 법에 따라 신고 의무가 있음에도 이를 이행하지 않아 디올의 부실한 대응이 도마에 오르고 있다.
14일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원실에 따르면, 디올은 이번 해킹 사고와 관련해 개인정보보호위원회에만 신고하고, 해킹사고의 법적 신고 대상인 KISA에는 아무런 조치를 하지 않았다.
앞서 디올은 홈페이지를 통해 “지난 7일 외부 권한 없는 제3자가 디올 고객의 일부 데이터에 접근한 사실을 확인했다”며 “이 데이터에는 이름, 연락처, 주소 등 고객 정보가 포함됐다”고 밝혔다. 그러나 신용카드나 IBAN(국제은행계좌번호) 등 금융정보는 포함되지 않았다고 강조했다.
이번 해킹은 디올 본사에서 발생했지만, 국내 고객의 개인정보가 유출됐다는 점에서 한국 현행법의 적용을 받는다. 정보통신망법 제48조 3항은 정보통신서비스 제공자가 침해사고를 인지한 경우 과학기술정보통신부 장관이나 KISA에 즉시 신고하도록 명시하고 있다. 또한 제5조 2항은 국외에서 발생한 행위라도 국내 이용자에게 영향을 미칠 경우 해당 법률을 적용할 수 있다고 규정한다.
KISA는 디올코리아 측에 전화로 미신고 사실을 안내하고 관련 법령을 설명한 것으로 전해졌다. 그러나 과학기술정보통신부가 고발 조치를 취할 경우 디올은 최대 3000만원 이하의 과태료 처분을 받을 수 있다.
최 의원실 관계자는 “최근 SK텔레콤도 해킹 사고 발생 이틀 후에야 늦장 신고를 했고, 디올은 아예 KISA에 신고조차 하지 않았다”며 “업계 전반에 KISA 신고에 대한 인식이 부족하고 정부의 정책 홍보도 미비한 것으로 보인다”고 지적했다.
한편 디올코리아는 고객들에게 문자 메시지를 보내 “이번 사안으로 인해 우려와 불편을 끼쳐드린 점 깊이 사과드린다”며 “의심스러운 연락이나 링크, 첨부파일에 주의해 달라”고 당부했다.
최근 SKT 유심 정보 유출에 이어 디올까지 개인정보 해킹 사고가 잇따르면서, 글로벌 기업들의 사이버 보안 책임과 정부 기관의 대응 체계에 대한 재정비가 필요하다는 지적이 커지고 있다.
